Διαχείριση κρυπτογραφικών κλειδιών για ISO 27001, NIS2 και DORA

Στις 08:17 ένα πρωινό Δευτέρας, ο Υπεύθυνος Ασφάλειας Πληροφοριών μιας ευρωπαϊκής εταιρείας SaaS λαμβάνει μήνυμα από τον επικεφαλής μηχανικής: «Προχωρήσαμε σε εναλλαγή του κλειδιού κρυπτογράφησης της βάσης δεδομένων το Σαββατοκύριακο, αλλά μία διασύνδεση σταμάτησε να αποκρυπτογραφεί αρχεία. Κάναμε επαναφορά χρησιμοποιώντας ένα παλαιό κλειδί από το θησαυροφυλάκιο.»

Δέκα λεπτά αργότερα, ο Υπεύθυνος Προστασίας Δεδομένων ρωτά αν τα επηρεαζόμενα αρχεία περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα της ΕΕ. Το οικονομικό τμήμα ρωτά αν αυτό μπορεί να εξελιχθεί σε κοινοποιήσιμο λειτουργικό περιστατικό για ρυθμιζόμενο πελάτη. Το τμήμα προμηθειών ρωτά αν το κλειδί που διαχειρίζεται ο πελάτης το κατέχει ο πάροχος υπηρεσιών cloud ή η εταιρεία. Ο Διευθύνων Σύμβουλος θέτει το μοναδικό ερώτημα που έχει σημασία στην αίθουσα του Διοικητικού Συμβουλίου: «Μπορούμε να αποδείξουμε ότι το διαχειριστήκαμε σωστά;»

Εκείνη είναι η στιγμή που η φράση «χρησιμοποιούμε κρυπτογράφηση» παύει να είναι καθησυχαστική και μετατρέπεται σε ζήτημα τεκμηρίων.

Το 2026, η διαχείριση κρυπτογραφικών κλειδιών βρίσκεται στη διασταύρωση των ελέγχων του ISO/IEC 27001:2022, της κυβερνοϋγιεινής του NIS2, της διαχείρισης κινδύνων ΤΠΕ του DORA, των τεκμηρίων ασφάλειας της επεξεργασίας του GDPR Article 32, της κοινής ευθύνης στο cloud και του σχεδιασμού κρυπτογραφικής ευελιξίας για τη μετακβαντική εποχή. Το ουσιώδες ερώτημα δεν είναι αν υπάρχει κρυπτογράφηση. Το ουσιώδες ερώτημα είναι αν ο οργανισμός μπορεί να αποδείξει, με αρχεία, ότι τα κλειδιά δημιουργούνται με ασφάλεια, ανατίθενται σε ιδιοκτήτες, αποθηκεύονται σε εγκεκριμένα περιβάλλοντα KMS ή HSM, εναλλάσσονται σύμφωνα με πρόγραμμα, ανακτώνται με ασφάλεια, ανακαλούνται όταν συμβιβάζονται και αντιστοιχίζονται στον επιχειρησιακό κίνδυνο.

Η Clarysec βλέπει επανειλημμένα το ίδιο μοτίβο σε έργα ετοιμότητας. Η κρυπτογράφηση υλοποιείται ανά σύστημα, αλλά η διακυβέρνηση κλειδιών παραμένει κατακερματισμένη. Τα πιστοποιητικά τηρούνται σε υπολογιστικά φύλλα. Τα δικαιώματα cloud KMS κληρονομούνται από παλαιά έργα. Οι προγραμματιστές γνωρίζουν ποια μυστικά έχουν σημασία, αλλά το ISMS όχι. Οι ελεγκτές λαμβάνουν στιγμιότυπα οθόνης αντί για τεκμήρια κύκλου ζωής. Οι ομάδες NIS2 και DORA μιλούν για ανθεκτικότητα, οι ομάδες ιδιωτικότητας μιλούν για κρυπτογράφηση και ψευδωνυμοποίηση κατά GDPR, και κανείς δεν έχει την από άκρο σε άκρο ιδιοκτησία του κρυπτογραφικού επιπέδου ελέγχου.

Η ώριμη απάντηση δεν είναι περισσότερη αποσπασματική κρυπτογραφία. Είναι διακυβερνώμενη διαχείριση κρυπτογραφικών κλειδιών, συνδεδεμένη με την αντιμετώπιση κινδύνων, την αρχιτεκτονική cloud, την εποπτεία προμηθευτών, τον έλεγχο πρόσβασης, την καταγραφή, την απόκριση σε περιστατικά και τα κανονιστικά τεκμήρια.

Γιατί η διαχείριση κλειδιών είναι πλέον ζήτημα διακυβέρνησης

Το NIS2 καθιστά τις πολιτικές κρυπτογραφίας και κρυπτογράφησης μέρος των ελάχιστων μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας για βασικές και σημαντικές οντότητες. Το Article 21 απαιτεί κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα, συμπεριλαμβανομένων της ανάλυσης κινδύνου, του χειρισμού περιστατικών, της συνέχειας, της ασφάλειας εφοδιαστικής αλυσίδας, της ασφαλούς ανάπτυξης, της κυβερνοϋγιεινής, του ελέγχου πρόσβασης, της διαχείρισης περιουσιακών στοιχείων και των πολιτικών κρυπτογραφίας και κρυπτογράφησης. Απαιτεί επίσης από τα διοικητικά όργανα να εγκρίνουν και να εποπτεύουν τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας.

Για παρόχους SaaS, υπηρεσιών cloud, διαχειριζόμενων υπηρεσιών και υπηρεσιών κυβερνοασφάλειας, η εφαρμοσιμότητα μπορεί να είναι ευρύτερη από όσο θεωρούν πολλές ομάδες. Το NIS2 καλύπτει τομείς όπως ψηφιακή υποδομή, πάροχοι υπηρεσιών υπολογιστικού cloud, πάροχοι κέντρων δεδομένων, πάροχοι DNS, πάροχοι υπηρεσιών εμπιστοσύνης, πάροχοι διαχειριζόμενων υπηρεσιών (MSPs), πάροχοι διαχειριζόμενων υπηρεσιών ασφάλειας, επιγραμμικές αγορές, μηχανές αναζήτησης και πλατφόρμες κοινωνικής δικτύωσης, όταν πληρούνται τα κριτήρια μεγέθους ή κρισιμότητας.

Το DORA ανεβάζει τον πήχη για τις χρηματοοικονομικές οντότητες. Από τις 17 Ιανουαρίου 2025, το DORA απαιτεί τεκμηριωμένο πλαίσιο διαχείρισης κινδύνων ΤΠΕ, λογοδοσία σε επίπεδο Διοικητικού Συμβουλίου, επιχειρησιακή συνέχεια ΤΠΕ και σχέδια απόκρισης και ανάκαμψης, δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας, διαχείριση κινδύνων ΤΠΕ τρίτων και αναφορά περιστατικών. Για χρηματοοικονομικές οντότητες που προσδιορίζονται βάσει εθνικών κανόνων NIS2, το DORA λειτουργεί ως η τομεακή νομική πράξη της Ένωσης για ισοδύναμες υποχρεώσεις NIS2. Μια fintech δεν πρέπει να λειτουργεί χωριστή κρυπτογραφική διακυβέρνηση για NIS2, DORA και ISO. Χρειάζεται ένα ενιαίο, τεκμηριώσιμο μοντέλο ελέγχων.

Το GDPR προσθέτει τη διάσταση των τεκμηρίων ιδιωτικότητας. Το GDPR Article 32 είναι το σημείο όπου η κρυπτογράφηση αξιολογείται συχνά ως δικλίδα ασφάλειας της επεξεργασίας, αλλά η απάντηση «τα δεδομένα είναι κρυπτογραφημένα» δεν είναι πλήρης. Οι εποπτικές αρχές και οι ελεγκτές ρωτούν ποιος ελέγχει τα κλειδιά, πώς περιορίζεται η πρόσβαση, πώς ανιχνεύεται ο συμβιβασμός, πώς λειτουργεί η ανάκτηση και αν ο σχεδιασμός αντιστοιχεί στον κίνδυνο για τα φυσικά πρόσωπα.

Το ISO/IEC 27001:2022 παρέχει στους οργανισμούς το σύστημα διαχείρισης που συνδέει αυτές τις υποχρεώσεις. Οι ρήτρες 4.1 έως 4.4 απαιτούν πλαίσιο, απαιτήσεις ενδιαφερόμενων μερών, πεδίο εφαρμογής του ISMS και αλληλεπιδρώσες διεργασίες. Οι ρήτρες 5.1 έως 5.3 απαιτούν ηγεσία, πολιτική, πόρους και ανατεθειμένες αρμοδιότητες. Οι ρήτρες 6.1.1 έως 6.1.3 απαιτούν αξιολόγηση κινδύνου, αντιμετώπιση κινδύνων, επιλογή ελέγχων, Δήλωση Εφαρμοσιμότητας και έγκριση από τον ιδιοκτήτη κινδύνου. Οι ρήτρες 8.1 έως 8.3 απαιτούν ελεγχόμενη λειτουργία, επανεξέταση κινδύνου όταν συμβαίνουν αλλαγές, υλοποίηση σχεδίων αντιμετώπισης κινδύνων και διατήρηση τεκμηριωμένων αποτελεσμάτων.

Για τη διαχείριση κρυπτογραφικών κλειδιών, το ISMS πρέπει να απαντά σε πέντε ερωτήματα:

1. Ποια πληροφοριακά περιουσιακά στοιχεία, ροές δεδομένων και υπηρεσίες απαιτούν κρυπτογραφική προστασία;
2. Ποια κλειδιά, πιστοποιητικά, μυστικά και κρυπτογραφικές υπηρεσίες τα προστατεύουν;
3. Ποιος κατέχει, διαχειρίζεται, εγκρίνει και παρακολουθεί αυτά τα κρυπτογραφικά περιουσιακά στοιχεία;
4. Πώς ελέγχονται η δημιουργία, η αποθήκευση, η χρήση, η εναλλαγή, η μεσεγγύηση, η ανάκτηση, η ανάκληση και η καταστροφή;
5. Ποια τεκμήρια αποδεικνύουν ότι οι έλεγχοι λειτούργησαν όπως είχαν σχεδιαστεί;

Η ραχοκοκαλιά ελέγχων ISO 27001 για τη διαχείριση κρυπτογραφικών κλειδιών

Η Clarysec αντιμετωπίζει τη διαχείριση κρυπτογραφικών κλειδιών ως αλυσίδα ελέγχων και όχι ως μεμονωμένο έλεγχο. Στο Zenith Controls: Οδηγός διασυμμόρφωσης Zenith Controls, το θέμα αντιστοιχίζεται κυρίως στον έλεγχο 8.24 του ISO/IEC 27002:2022, Χρήση κρυπτογραφίας, με σημαντικές υποστηρικτικές σχέσεις με το 5.17, Πληροφορίες αυθεντικοποίησης, και το 5.23, Ασφάλεια πληροφοριών για τη χρήση υπηρεσιών cloud.

Αυτή η σχέση έχει σημασία. Μια αστοχία διαχείρισης κλειδιών σπάνια είναι απλώς «κακή κρυπτογράφηση». Συχνά είναι πρόβλημα αυθεντικοποίησης, πρόβλημα διακυβέρνησης cloud, πρόβλημα προμηθευτή, κενό καταγραφής ή αστοχία διαχείρισης αλλαγών.

Το Zenith Blueprint: Ο οδικός χάρτης 30 βημάτων για ελεγκτές Zenith Blueprint το καθιστά επιχειρησιακά εφαρμόσιμο στη φάση Διαχείρισης Κινδύνων, Βήμα 14, Πολιτικές αντιμετώπισης κινδύνων και κανονιστικές διασταυρώσεις. Το δείγμα πολιτικής κρυπτογραφίας του αναφέρει ότι ο οργανισμός πρέπει να ορίζει πού απαιτείται κρυπτογραφία, να εγκρίνει αλγορίθμους και πρωτόκολλα, να ορίζει τη διαχείριση κλειδιών, να καλύπτει περιπτώσεις χρήσης όπως πλήρης κρυπτογράφηση δίσκου και ασφαλείς επικοινωνίες, και να συνδέει την πολιτική με το GDPR Article 32.

«Τα κλειδιά κρυπτογράφησης πρέπει να αποθηκεύονται με ασφάλεια (π.χ. σε θησαυροφυλάκιο κλειδιών/HSM) και η πρόσβαση να περιορίζεται σε εξουσιοδοτημένο προσωπικό.»
Απόδοση: Zenith Blueprint, φάση Διαχείρισης Κινδύνων, Βήμα 14, Πολιτικές αντιμετώπισης κινδύνων και κανονιστικές διασταυρώσεις Zenith Blueprint

Στη φάση Controls in Action, Βήμα 20, το Zenith Blueprint εμβαθύνει. Η κρυπτογραφία δεν αφορά την «ενεργοποίηση της κρυπτογράφησης». Αφορά την ενσωμάτωση της κρυπτογραφίας στον σχεδιασμό, στην πολιτική και στη διαχείριση κύκλου ζωής. Αυτό περιλαμβάνει δεδομένα σε αποθήκευση, δεδομένα σε μεταφορά, αυθεντικοποίηση ταυτοτήτων και συναλλαγών, εγκεκριμένους αλγορίθμους, θησαυροφυλάκια κλειδιών, HSM, προγραμματισμένη εναλλαγή, ανάκληση και επαλήθευση μέσω δοκιμών διείσδυσης και ανασκόπησης κώδικα.

Τι αναμένουν οι ελεγκτές όταν ζητούν τεκμήρια για κλειδιά

Τα περισσότερα ευρήματα ελέγχου ξεκινούν με ένα απλό αίτημα: «Δείξτε μου την πολιτική κρυπτογράφησης και τα αρχεία διαχείρισης κλειδιών.»

Αδύναμες απαντήσεις είναι:

• «Ο πάροχος υπηρεσιών cloud κρυπτογραφεί τα πάντα εξ ορισμού.»
• «Χρησιμοποιούμε TLS.»
• «Τα μυστικά είναι στο θησαυροφυλάκιο.»
• «Η ομάδα μηχανικής χειρίζεται την εναλλαγή.»
• «Το κλειδί το διαχειρίζεται η εφαρμογή.»

Αυτές οι δηλώσεις μπορεί να είναι τεχνικά αληθείς, αλλά δεν αποτελούν πλήρη τεκμήρια. Ένας ελεγκτής ISO θα συνδέσει τη διαχείριση κλειδιών με την αξιολόγηση κινδύνου, τη Δήλωση Εφαρμοσιμότητας, τις απαιτήσεις πολιτικής, τον επιχειρησιακό έλεγχο και την τηρούμενη τεκμηρίωση. Ένας αξιολογητής NIST CSF θα ρωτήσει αν τα κρυπτογραφικά περιουσιακά στοιχεία αναγνωρίζονται, προστατεύονται, παρακολουθούνται και μπορούν να ανακτηθούν. Ένας ελεγκτής DORA θα αναζητήσει εγκεκριμένη από το Διοικητικό Συμβούλιο διακυβέρνηση κινδύνων ΤΠΕ, εξαρτήσεις από τρίτους, διαχείριση περιστατικών και δοκιμές ανθεκτικότητας. Ένας αξιολογητής GDPR θα ρωτήσει αν η κρυπτογράφηση και ο διαχωρισμός κλειδιών μειώνουν τον κίνδυνο για τα φυσικά πρόσωπα και αν ο υπεύθυνος επεξεργασίας μπορεί να αποδείξει την αρχή της λογοδοσίας.

Η εταιρική Πολιτική Κρυπτογραφικών Ελέγχων της Clarysec Πολιτική Κρυπτογραφικών Ελέγχων αντιμετωπίζει άμεσα το κενό τεκμηρίων:

«Πρέπει να τηρείται κεντρικό Μητρώο Διαχείρισης Κλειδιών για την καταγραφή όλων των κρυπτογραφικών κλειδιών, της κατάστασης κύκλου ζωής τους, των ανατεθειμένων θεματοφυλάκων και των πλαισίων χρήσης τους.»
Απόδοση: Εταιρική πολιτική, Πολιτική Κρυπτογραφικών Ελέγχων, Απαιτήσεις διακυβέρνησης, ρήτρα 5.2 Πολιτική Κρυπτογραφικών Ελέγχων

Αυτή η πρόταση αλλάζει τη συζήτηση στον έλεγχο. Αντί να αναζητάται άτυπη γνώση, ο οργανισμός μπορεί να παρουσιάσει μητρώο που συνδέει κλειδιά με περιουσιακά στοιχεία, ιδιοκτήτες, ταξινομήσεις δεδομένων, συστήματα, λογαριασμούς cloud, ημερομηνίες εναλλαγής, πλαίσια χρήσης και τεκμήρια.

Για τις ΜΜΕ, η Πολιτική Κρυπτογραφικών Ελέγχων-sme της Clarysec Πολιτική Κρυπτογραφικών Ελέγχων-sme - SME κλιμακώνει την ίδια προσδοκία:

«Ο εξωτερικός πάροχος υπηρεσιών πληροφορικής πρέπει να τηρεί επικαιροποιημένη απογραφή των κρυπτογραφικών εργαλείων και πιστοποιητικών που χρησιμοποιούνται.»
Απόδοση: Πολιτική SME, Πολιτική Κρυπτογραφικών Ελέγχων-sme, Απαιτήσεις διακυβέρνησης, ρήτρα 5.1.2 Πολιτική Κρυπτογραφικών Ελέγχων-sme - SME

Ένα ρυθμιζόμενο χρηματοπιστωτικό ίδρυμα μπορεί να χρειάζεται τελετές HSM, διαχωρισμένη γνώση, μηχανισμούς διπλού ελέγχου, επίσημους ορισμούς θεματοφυλάκων και τριμηνιαίες ανασκοπήσεις δικαιωμάτων πρόσβασης. Ένας μικρός πάροχος SaaS μπορεί να ξεκινήσει με τηρούμενη απογραφή, εγκεκριμένους αλγορίθμους, τεκμηριωμένη ιδιοκτησία KMS και τεκμήρια εναλλαγής. Και οι δύο χρειάζονται διακυβέρνηση ανάλογη με τον κίνδυνο.

Ο κύκλος ζωής κλειδιών που πρέπει να ελέγχει το ISMS σας

Ένα πρακτικό πρόγραμμα διαχείρισης κλειδιών ακολουθεί τον κύκλο ζωής. Κάθε στάδιο χρειάζεται ιδιοκτήτη, εγκεκριμένη μέθοδο, τεχνικό έλεγχο, αρχείο αλλαγής και ελεγκτικά τεκμήρια.

Η εταιρική Πολιτική Κρυπτογραφικών Ελέγχων ενισχύει την ασφαλή δημιουργία:

«Δημιουργία κλειδιών: Πραγματοποιείται με χρήση ασφαλών μονάδων υλικού ή λογισμικού (π.χ. HSM, συστήματα επικυρωμένα κατά FIPS 140-2).»
Απόδοση: Εταιρική πολιτική, Πολιτική Κρυπτογραφικών Ελέγχων, Απαιτήσεις εφαρμογής της πολιτικής, ρήτρα 6.3.1 Πολιτική Κρυπτογραφικών Ελέγχων

Προσδιορίζει επίσης την εναλλαγή:

«Εναλλαγή κλειδιών: Απαιτείται σε καθορισμένα διαστήματα ή αμέσως μετά από συμβιβασμό ή αλλαγή ρόλου.»
Απόδοση: Εταιρική πολιτική, Πολιτική Κρυπτογραφικών Ελέγχων, Απαιτήσεις εφαρμογής της πολιτικής, ρήτρα 6.3.4 Πολιτική Κρυπτογραφικών Ελέγχων

Για τις ΜΜΕ, η ίδια αρχή εμφανίζεται σε απλούστερη λειτουργική γλώσσα:

«Η εναλλαγή κλειδιών πρέπει να πραγματοποιείται σύμφωνα με τα χρονοδιαγράμματα λήξης ή σε περίπτωση υποψίας συμβιβασμού.»
Απόδοση: Πολιτική SME, Πολιτική Κρυπτογραφικών Ελέγχων-sme, Απαιτήσεις εφαρμογής της πολιτικής, ρήτρα 6.3.4 Πολιτική Κρυπτογραφικών Ελέγχων-sme - SME

Αυτές οι ρήτρες έχουν σημασία για NIS2 και DORA, επειδή τα παρωχημένα ή ανεπαρκώς διακυβερνώμενα κλειδιά δεν είναι μόνο αδυναμίες εμπιστευτικότητας. Μπορούν να εξελιχθούν σε εμπόδια απόκρισης σε περιστατικά, ζητήματα εξάρτησης από προμηθευτές, αστοχίες ανάκαμψης από καταστροφή και προβλήματα ειδοποίησης πελατών.

Cloud KMS, HSM και BYOK: η παγίδα της κοινής ευθύνης

Η κρυπτογράφηση στο cloud είναι μία από τις συνηθέστερες πηγές ψευδούς διασφάλισης. Ένας πάροχος υπηρεσιών cloud μπορεί να κρυπτογραφεί την αποθήκευση εξ ορισμού, αλλά αυτό δεν σημαίνει αυτόματα ότι ο οργανισμός σας έχει θέσει το κλειδί υπό διακυβέρνηση.

Το Zenith Blueprint, στη φάση Controls in Action, Βήμα 23, εξηγεί τον έλεγχο 5.23 του ISO/IEC 27002:2022 εστιάζοντας στη διακυβέρνηση cloud, την ορατότητα και την κοινή ευθύνη. Τονίζει ότι ο πάροχος μπορεί να ασφαλίζει την υποδομή, αλλά ο πελάτης παραμένει υπόλογος για τα δεδομένα, τις ρυθμίσεις, τις πολιτικές πρόσβασης και την ετοιμότητα απόκρισης σε περιστατικά.

«Οι πάροχοι υπηρεσιών cloud ασφαλίζουν την υποδομή, αλλά εσείς εξακολουθείτε να είστε υπόλογοι για τα δεδομένα σας, τις ρυθμίσεις σας, τις πολιτικές πρόσβασής σας και την ετοιμότητα απόκρισης σε περιστατικά.»
Απόδοση: Zenith Blueprint, φάση Controls in Action, Βήμα 23, Οργανωτικοί έλεγχοι 5.19-5.37 Zenith Blueprint

Σε αυτό το σημείο η ευθύνη για τα κλειδιά cloud γίνεται κίνδυνος σε επίπεδο Διοικητικού Συμβουλίου. Μια εταιρεία SaaS μπορεί να χρησιμοποιεί κρυπτογράφηση με κλειδιά διαχειριζόμενα από τον πάροχο για αρχεία καταγραφής χαμηλού κινδύνου, κλειδιά διαχειριζόμενα από τον πελάτη για βάσεις δεδομένων πελατών, BYOK για ρυθμιζόμενους πελάτες και ριζικά κλειδιά υποστηριζόμενα από HSM για υπογραφή ή tokenization. Κάθε επιλογή έχει επιπτώσεις συμμόρφωσης.

Η εταιρική Πολιτική Χρήσης Υπηρεσιών Νέφους της Clarysec Πολιτική Χρήσης Υπηρεσιών Νέφους παρέχει σαφή κατεύθυνση ελέγχου:

«Τα κλειδιά διαχειριζόμενα από τον πελάτη (CMKs) ή το Bring Your Own Key (BYOK) πρέπει να χρησιμοποιούνται όπου υποστηρίζονται από τον πάροχο υπηρεσιών cloud.»
Απόδοση: Εταιρική πολιτική, Πολιτική Χρήσης Υπηρεσιών Νέφους, Απαιτήσεις εφαρμογής της πολιτικής, ρήτρα 6.4.2 Πολιτική Χρήσης Υπηρεσιών Νέφους

Αυτό δεν σημαίνει ότι κάθε υπηρεσία cloud πρέπει να χρησιμοποιεί BYOK. Σημαίνει ότι ο οργανισμός πρέπει να αποφασίζει συνειδητά, βάσει κινδύνου, δεσμεύσεων προς πελάτες, συμβατικών απαιτήσεων και δυνατότητας ανάκτησης.

Τα DORA Article 28 και Article 30 το καθιστούν ιδιαίτερα σημαντικό για τις χρηματοοικονομικές οντότητες. Απαιτούν διαχείριση κινδύνων ΤΠΕ τρίτων, μητρώα συμβατικών ρυθμίσεων ΤΠΕ, δέουσα επιμέλεια, δικαιώματα ελέγχου και επιθεώρησης, συνδρομή σε περιστατικά, προστασία δεδομένων και πρόσβαση, καθώς και προβλέψεις ανάκαμψης και επιστροφής. Εάν ένας πάροχος υπηρεσιών cloud ή προμηθευτής SaaS διαχειρίζεται κλειδιά κρυπτογράφησης για κρίσιμη ή σημαντική λειτουργία, αυτή η σχέση πρέπει να είναι ορατή στο μητρώο τρίτων ΤΠΕ και στους συμβατικούς ελέγχους.

Το NIS2 απαιτεί επίσης ασφάλεια εφοδιαστικής αλυσίδας, συμπεριλαμβανομένων ευπαθειών ειδικών για προμηθευτές, πρακτικών κυβερνοασφάλειας και διαδικασιών ασφαλούς ανάπτυξης. Εάν ένας κρίσιμος προμηθευτής κρατά τα κλειδιά σας, λειτουργεί το KMS σας, παρέχει το HSM σας, διαχειρίζεται τον κύκλο ζωής των πιστοποιητικών σας ή φιλοξενεί κρυπτογραφημένα αντίγραφα ασφαλείας, ο προμηθευτής αποτελεί μέρος του κρυπτογραφικού περιβάλλοντος ελέγχου σας.

Έγκριση αλγορίθμων και κρυπτογραφική ευελιξία το 2026

Μια πολιτική διαχείρισης κλειδιών του 2026 δεν πρέπει απλώς να αναφέρει «AES-256» και «TLS 1.2 ή μεταγενέστερο». Πρέπει να θεσπίζει διαδικασία έγκρισης και ανασκόπησης που υποστηρίζει κρυπτογραφική ευελιξία. Κρυπτογραφική ευελιξία σημαίνει ότι ο οργανισμός μπορεί να εντοπίζει πού χρησιμοποιούνται αλγόριθμοι, πρωτόκολλα, πιστοποιητικά και μήκη κλειδιών, να αξιολογεί την έκθεση σε αδυναμία ή απαξίωση και να μεταβαίνει χωρίς πανικό.

Η πολιτική SME της Clarysec αναφέρει:

«Μπορούν να χρησιμοποιούνται μόνο αλγόριθμοι και πρωτόκολλα βέλτιστων πρακτικών του κλάδου που έχουν εγκριθεί από τον εξωτερικό πάροχο υπηρεσιών πληροφορικής (π.χ. AES-256, RSA 2048, TLS 1.2 ή μεταγενέστερο).»
Απόδοση: Πολιτική SME, Πολιτική Κρυπτογραφικών Ελέγχων-sme, Απαιτήσεις εφαρμογής της πολιτικής, ρήτρα 6.2.1 Πολιτική Κρυπτογραφικών Ελέγχων-sme - SME

Απαιτεί επίσης τεκμηρίωση:

«Όλες οι μέθοδοι κρυπτογράφησης (π.χ. AES-256, TLS 1.2+) και οι διαδικασίες διαχείρισης κλειδιών πρέπει να τεκμηριώνονται.»
Απόδοση: Πολιτική SME, Πολιτική Κρυπτογραφικών Ελέγχων-sme, Απαιτήσεις διακυβέρνησης, ρήτρα 5.3.1 Πολιτική Κρυπτογραφικών Ελέγχων-sme - SME

Η εκδοχή με ελεγκτική ετοιμότητα είναι ένα εγκεκριμένο κρυπτογραφικό πρότυπο με:

• Επιτρεπόμενους αλγορίθμους και πρωτόκολλα για δεδομένα σε αποθήκευση, δεδομένα σε μεταφορά, υπογραφές, κατακερματισμό κωδικών πρόσβασης, tokenization και αντίγραφα ασφαλείας.
• Μη επιτρεπόμενους αλγορίθμους, πρωτόκολλα και βιβλιοθήκες.
• Ελάχιστα μήκη κλειδιών και περιόδους ισχύος πιστοποιητικών.
• Εγκεκριμένα KMS, HSM, Αρχή Πιστοποίησης και πλατφόρμες διαχείρισης μυστικών.
• Απαιτήσεις για ασφαλή παραγωγή τυχαίων αριθμών.
• Οδηγίες για προγραμματιστές σχετικά με κρυπτογραφικές βιβλιοθήκες.
• Διαδικασία εξαίρεσης για συστήματα παλαιού τύπου.
• Εναύσματα ανασκόπησης για ευπάθειες, κανονιστικές αλλαγές, αλλαγές προμηθευτών και σχεδιασμό μετάβασης στη μετακβαντική εποχή.

Ο μετακβαντικός σχεδιασμός δεν απαιτεί από κάθε οργανισμό να αντικαταστήσει άμεσα όλη την κρυπτογραφία. Απαιτεί όμως απογραφή. Χωρίς κρυπτογραφική απογραφή, δεν μπορείτε να γνωρίζετε ποια συστήματα χρησιμοποιούν μακρόβια κρυπτογράφηση δημόσιου κλειδιού, ποια πιστοποιητικά προστατεύουν κρίσιμες υπηρεσίες, πού βρίσκονται τα κλειδιά υπογραφής ή ποιοι προμηθευτές πρέπει να υποστηρίξουν τη μετάβαση. Το Μητρώο Διαχείρισης Κλειδιών δεν είναι γραφειοκρατία. Είναι το θεμέλιο της κρυπτογραφικής ευελιξίας.

Ένα sprint τεκμηρίων διαχείρισης κλειδιών διάρκειας 90 λεπτών

Η Clarysec χρησιμοποιεί συχνά ένα σύντομο sprint τεκμηρίων με ομάδες ηγεσίας, ασφάλειας, cloud και συμμόρφωσης. Ο στόχος είναι να μετατραπεί γρήγορα η διάσπαρτη γνώση για τα κλειδιά σε ελεγκτικά τεκμήρια.

Βήμα 1: Επιλέξτε μία κρίσιμη υπηρεσία

Επιλέξτε ένα σύστημα που έχει σημασία για NIS2, DORA ή GDPR. Παραδείγματα περιλαμβάνουν ταυτότητα πελατών, επεξεργασία πληρωμών, παρακολούθηση συναλλαγών, βάση δεδομένων πελατών παραγωγής, πλατφόρμα κρυπτογραφημένων αντιγράφων ασφαλείας ή API διαθέσιμο προς πελάτες.

Βήμα 2: Ανοίξτε το Μητρώο Διαχείρισης Κλειδιών

Χρησιμοποιήστε την απαίτηση της Πολιτικής Κρυπτογραφικών Ελέγχων για κεντρικό μητρώο ως δομή. Εάν δεν έχετε ακόμη, δημιουργήστε ένα απλό μητρώο με τα ακόλουθα πεδία:

Βήμα 3: Ιχνηλατήστε πρόσβαση και διπλό έλεγχο

Για κρυπτογραφικές λειτουργίες υψηλού αντικτύπου, εφαρμόστε μηχανισμούς διπλού ελέγχου και ελάχιστο προνόμιο. Η εταιρική Πολιτική Κρυπτογραφικών Ελέγχων αναφέρει:

«Οι αρχές διπλού ελέγχου και ελαχίστου προνομίου πρέπει να εφαρμόζονται σε ευαίσθητες κρυπτογραφικές λειτουργίες (π.χ. εισαγωγές ριζικών κλειδιών, διαχείριση HSM).»
Απόδοση: Εταιρική πολιτική, Πολιτική Κρυπτογραφικών Ελέγχων, Απαιτήσεις εφαρμογής της πολιτικής, ρήτρα 6.6.2 Πολιτική Κρυπτογραφικών Ελέγχων

Ρωτήστε:

• Ποιος μπορεί να απενεργοποιήσει ή να διαγράψει το κλειδί;
• Ποιος μπορεί να αλλάξει την πολιτική του κλειδιού;
• Ποιος μπορεί να αποκρυπτογραφήσει δεδομένα άμεσα;
• Παρακολουθούνται οι ρόλοι break-glass και είναι χρονικά περιορισμένοι;
• Επιβάλλεται MFA για προνομιούχες λειτουργίες κλειδιών;
• Καταγράφονται και ανασκοπούνται οι προνομιούχες ενέργειες;

Βήμα 4: Συλλέξτε πέντε αρχεία τεκμηρίων

Συλλέξτε πέντε αρχεία που αποδεικνύουν ότι ο έλεγχος λειτουργεί:

1. Αρχείο καταγραφής δημιουργίας ή εισαγωγής κλειδιού.
2. Τρέχουσα πολιτική πρόσβασης KMS ή HSM.
3. Τελευταίο αίτημα αλλαγής για εναλλαγή κλειδιού.
4. Ερώτημα SIEM που δείχνει χρήση κλειδιού ή διαχειριστικές ενέργειες.
5. Τεκμήριο δοκιμής ανάκτησης ή επαναφοράς.

Βήμα 5: Αντιστοιχίστε σε κίνδυνο και κανονιστικές απαιτήσεις

Προσθέστε μια σύντομη δήλωση κινδύνου: «Η μη εξουσιοδοτημένη χρήση ή απώλεια αυτού του κλειδιού θα μπορούσε να εκθέσει δεδομένα προσωπικού χαρακτήρα της ΕΕ, να διακόψει την εξυπηρέτηση πελατών και να επηρεάσει την ανάκαμψη κρίσιμων συστημάτων.» Στη συνέχεια, αντιστοιχίστε τη στις σχετικές υποχρεώσεις.

Σε 90 λεπτά, η ομάδα μπορεί συνήθως να διαπιστώσει αν η διακυβέρνηση κλειδιών είναι πραγματική ή απλώς υποτιθέμενη.

Αναφορά περιστατικών: όταν ο συμβιβασμός κλειδιών εκκινεί το χρονόμετρο

Ένας ύποπτος συμβιβασμός κλειδιού δεν αποτελεί αυτόματα κοινοποιήσιμη παραβίαση, αλλά μπορεί να εκκινήσει το κανονιστικό χρονόμετρο.

Σύμφωνα με το NIS2, οι βασικές και σημαντικές οντότητες πρέπει να κοινοποιούν χωρίς αδικαιολόγητη καθυστέρηση σημαντικά περιστατικά που επηρεάζουν την παροχή υπηρεσιών. Το σταδιακό μοντέλο περιλαμβάνει έγκαιρη προειδοποίηση εντός 24 ωρών από τη γνώση του περιστατικού, κοινοποίηση περιστατικού εντός 72 ωρών, ενημερώσεις κατάστασης όπου ζητούνται και τελική αναφορά το αργότερο έναν μήνα μετά την κοινοποίηση περιστατικού.

Σύμφωνα με το DORA, οι χρηματοοικονομικές οντότητες πρέπει να ανιχνεύουν, να διαχειρίζονται και να κοινοποιούν περιστατικά που σχετίζονται με ΤΠΕ, να καταγράφουν περιστατικά και σημαντικές κυβερνοαπειλές, να ταξινομούν περιστατικά βάσει σοβαρότητας και κρισιμότητας επηρεαζόμενης υπηρεσίας, να επικοινωνούν με τα ενδιαφερόμενα μέρη, να αναφέρουν μείζονα περιστατικά στην ανώτερη διοίκηση και στις αρμόδιες αρχές, να διενεργούν ανάλυση βασικής αιτίας και να αποκαθιστούν. Η εξωτερική ανάθεση της αναφοράς μπορεί να είναι δυνατή, αλλά η ευθύνη παραμένει στη χρηματοοικονομική οντότητα.

Σύμφωνα με το GDPR, το ερώτημα γίνεται αν συνέβη παραβίαση δεδομένων προσωπικού χαρακτήρα, δηλαδή τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη γνωστοποίηση ή πρόσβαση σε δεδομένα προσωπικού χαρακτήρα. Η ισχυρή κρυπτογράφηση με μη συμβιβασμένα κλειδιά μπορεί να αλλάξει ουσιωδώς την ανάλυση κινδύνου παραβίασης. Η αδύναμη διαχείριση κλειδιών μπορεί να υπονομεύσει αυτό το επιχείρημα.

Τα playbooks συμβιβασμού κλειδιών πρέπει να ορίζουν:

• Πώς ανιχνεύεται η ύποπτη έκθεση κλειδιού.
• Ποιος κηρύσσει κρυπτογραφικό περιστατικό.
• Πώς αναγνωρίζονται τα επηρεαζόμενα δεδομένα, οι υπηρεσίες, οι πελάτες και οι δικαιοδοσίες.
• Πώς ανακαλούνται ή εναλλάσσονται τα κλειδιά.
• Πώς αποκαθίστανται τα εξαρτώμενα συστήματα.
• Πώς διατηρείται η ακεραιότητα των τεκμηρίων.
• Πώς λαμβάνονται αποφάσεις νομικής, κανονιστικής και πελατειακής κοινοποίησης.

Το Μητρώο Διαχείρισης Κλειδιών γίνεται κρίσιμο κατά τη διάρκεια αυτής της διαδικασίας. Χωρίς αυτό, οι ομάδες απόκρισης χάνουν χρόνο προσπαθώντας να εντοπίσουν τι προστάτευε ένα κλειδί. Με αυτό, μπορούν να οριοθετήσουν γρήγορα τον αντίκτυπο.

Η οπτική του ελέγχου: ένα σύνολο ελέγχων, πολλοί αποδέκτες τεκμηρίων

Διαφορετικοί ελεγκτές προσεγγίζουν τη διαχείριση κρυπτογραφικών κλειδιών από διαφορετικές αφετηρίες, αλλά συγκλίνουν στα ίδια τεκμήρια.

Ένα ισχυρό πακέτο ελέγχου για τη διαχείριση κρυπτογραφικών κλειδιών συνήθως περιλαμβάνει:

• Εγκεκριμένη Πολιτική Κρυπτογραφικών Ελέγχων.
• Εγκεκριμένη Πολιτική Χρήσης Υπηρεσιών Νέφους όπου η κρυπτογράφηση στο cloud είναι σχετική.
• Κρυπτογραφικό πρότυπο και κατάλογο αλγορίθμων.
• Μητρώο Διαχείρισης Κλειδιών.
• Απογραφή πιστοποιητικών και μυστικών.
• Αρχιτεκτονική KMS, HSM και θησαυροφυλακίου.
• Τεκμήρια ανασκόπησης IAM και προνομιακής πρόσβασης.
• Αρχεία εναλλαγής και ανάκλησης.
• Τεκμήρια δοκιμών αντιγράφων ασφαλείας, μεσεγγύησης και ανάκτησης.
• Κανόνες καταγραφής και παρακολούθησης για δραστηριότητα κλειδιών.
• Αντιστοίχιση προμηθευτών και κοινής ευθύνης στο cloud.
• Playbook περιστατικού για ύποπτο συμβιβασμό κλειδιού.
• Εξαιρέσεις και αποδοχές κινδύνου.
• Αρχεία ανασκόπησης από τη διοίκηση και αποκατάστασης ελέγχου.

Αυτό το πακέτο μετατρέπει έναν ισχυρισμό ελέγχου σε απόδειξη.

Συνήθη ευρήματα σε ελέγχους διαχείρισης κλειδιών

Τα συνηθέστερα ευρήματα είναι αποτρέψιμα:

1. Δεν υπάρχει ενιαία απογραφή κλειδιών, πιστοποιητικών και κρυπτογραφικών εργαλείων.
2. Η προεπιλεγμένη κρυπτογράφηση του παρόχου υπηρεσιών cloud αντιμετωπίζεται ως πλήρης διακυβέρνηση κλειδιών.
3. Δεν έχει ανατεθεί ιδιοκτήτης ή θεματοφύλακας σε κλειδιά παραγωγής.
4. Υπάρχει εναλλαγή για πιστοποιητικά, αλλά όχι για κλειδιά εφαρμογών ή CMKs βάσεων δεδομένων.
5. Μυστικά και κλειδιά αναμειγνύονται στο ίδιο θησαυροφυλάκιο χωρίς ταξινόμηση.
6. Οι προγραμματιστές μπορούν να δημιουργούν κλειδιά εκτός εγκεκριμένων προτύπων.
7. Δεν υπάρχουν τεκμήρια ότι οι διαχειριστές KMS ανασκοπούνται.
8. Υπάρχουν διαδικασίες ανάκτησης αλλά δεν έχουν δοκιμαστεί ποτέ.
9. Ο συμβιβασμός κλειδιών δεν περιλαμβάνεται στα playbooks απόκρισης σε περιστατικά.
10. Αλγόριθμοι παλαιού τύπου παραμένουν σε εσωτερικές υπηρεσίες επειδή κανείς δεν κατέχει την αποκατάσταση.
11. Δεσμεύσεις BYOK περιλαμβάνονται σε συμβάσεις πελατών αλλά δεν αποτυπώνονται στις λειτουργίες.
12. Η κρυπτογράφηση που διαχειρίζεται προμηθευτής δεν περιλαμβάνεται στις ανασκοπήσεις κινδύνου προμηθευτών.

Κάθε εύρημα αντιστοιχίζεται στη διακυβέρνηση. Γι’ αυτό η κρυπτογραφία δεν μπορεί να αντιμετωπίζεται ως αμιγώς έργο μηχανικής. Πρέπει να συνδέεται με το πεδίο εφαρμογής του ISMS, την αντιμετώπιση κινδύνων, την πολιτική, τους προμηθευτές, το cloud, την πρόσβαση, την καταγραφή, τα περιστατικά και τη συνέχεια.

Κάντε τη διακυβέρνηση κλειδιών έτοιμη για έλεγχο πριν από το επόμενο περιστατικό

Εάν ο οργανισμός σας προετοιμάζεται για NIS2, DORA, τεκμήρια GDPR Article 32, πιστοποίηση ISO/IEC 27001:2022 ή κρυπτογραφική ευελιξία για τη μετακβαντική εποχή, ξεκινήστε με ένα ερώτημα: μπορείτε σήμερα να παραγάγετε ένα πλήρες Μητρώο Διαχείρισης Κλειδιών;

Εάν όχι, η Clarysec μπορεί να σας βοηθήσει να δημιουργήσετε το σύστημα ελέγχων γύρω από αυτό.

Χρησιμοποιήστε το Zenith Blueprint Zenith Blueprint για να δομήσετε την εργασία μέσω της φάσης Διαχείρισης Κινδύνων, Βήμα 14, και της φάσης Controls in Action, Βήμα 20. Χρησιμοποιήστε το Zenith Controls Zenith Controls για να αντιστοιχίσετε τους ελέγχους ISO/IEC 27002:2022 8.24, 5.17 και 5.23 σε NIS2, DORA, GDPR, NIST και προσδοκίες ελέγχου. Χρησιμοποιήστε την Πολιτική Κρυπτογραφικών Ελέγχων της Clarysec Πολιτική Κρυπτογραφικών Ελέγχων, την Πολιτική Κρυπτογραφικών Ελέγχων-sme Πολιτική Κρυπτογραφικών Ελέγχων-sme - SME και την Πολιτική Χρήσης Υπηρεσιών Νέφους Πολιτική Χρήσης Υπηρεσιών Νέφους για να μετατρέψετε τις απαιτήσεις σε λειτουργικούς κανόνες.

Το πρακτικό επόμενο βήμα είναι απλό: επιλέξτε μία κρίσιμη υπηρεσία, απογράψτε τα κλειδιά της, αποδείξτε την ιδιοκτησία, επικυρώστε την πρόσβαση, συλλέξτε τεκμήρια εναλλαγής και δοκιμάστε την ανάκτηση. Εάν αυτό απαιτεί περισσότερο από μία ημέρα, η κρυπτογραφική σας διακυβέρνηση χρειάζεται προσοχή πριν ο ρυθμιστής, ο ελεγκτής ή η ομάδα απόκρισης σε περιστατικά θέσει το ίδιο ερώτημα υπό πίεση.